session 重放攻击_API接口如何防止参数被篡改和重放攻击?
说明:目前所有的系统架构都是采用前后端分离的系统架构,那么就不可能避免的需要服务对外提供API,那么如何保证对外的API的安全呢?
即生鲜电商中API接口防止参数篡改和重放攻击
目录
1. 什么是API参数篡改?
说明:API参数篡改就是恶意人通过抓包的方式获取到请求的接口的参数,通过修改相关的参数,达到欺骗服务器的目的,常用的防止篡改的方式是用签名以及加密的方式。关注公众号码猿技术专栏获取更多面试资源
2. 什么是API重发攻击?
说明:API重放攻击: 就是把之前窃听到的数据原封不动的重新发送给接收方.
3,常用的解决的方案
常用的其他业务场景还有:
发送短信接口
支付接口
基于timestamp和nonce的方案
微信支付的接口就是这样做的
timestamp的作用
每次HTTP请求,都需要加上timestamp参数,然后把timestamp和其他参数一起进行数字签名。HTTP请求从发出到达服务器一般都不会超过60s,所以服务器收到HTTP请求之后,首先判断时间戳参数与当前时间相比较,是否超过了60s,如果超过了则认为是非法的请求。
一般情况下,从抓包重放请求耗时远远超过了60s,所以此时请求中的timestamp参数已经失效了,如果修改timestamp参数为当前的时间戳,则signature参数对应的数字签名就会失效,因为不知道签名秘钥,没有办法生成新的数字签名。
但这种方式的漏洞也是显而易见的,如果在60s之后进行重放攻击,那就没办法了,所以这种方式不能保证请求仅一次有效
nonce的作用
nonce的意思是仅一次有效的随机字符串,要求每次请求时,该参数要保证不同。我们将每次请求的nonce参数存储到一个“集合”中,每次处理HTTP请求时,首先判断该请求的nonce参数是否在该“集合”中,如果存在则认为是非法请求。
nonce参数在首次请求时,已经被存储到了服务器上的“集合”中,再次发送请求会被识别并拒绝。
nonce参数作为数字签名的一部分,是无法篡改的,因为不知道签名秘钥,没有办法生成新的数字签名。
这种方式也有很大的问题,那就是存储nonce参数的“集合”会越来越大。
nonce的一次性可以解决timestamp参数60s(防止重放攻击)的问题,timestamp可以解决nonce参数“集合”越来越大的问题。
防篡改、防重放攻击 拦截器(用到了redis)
public class SignAuthInterceptor implements HandlerInterceptor{
private RedisTemplate redisTemplate;
private String key;
public SignAuthInterceptor(RedisTemplate redisTemplate, String key){
this.redisTemplate = redisTemplate;
this.key = key;
}
@Override
public boolean preHandle(HttpServletRequest request,
HttpServletResponse response, Object handler) throws Exception{
// 获取时间戳
String timestamp = request.getHeader("timestamp");
// 获取随机字符串
String nonceStr = request.getHeader("nonceStr");
// 获取签名
String signature = request.getHeader("signature");
// 判断时间是否大于xx秒(防止重放攻击)
long NONCE_STR_TIMEOUT_SECONDS = 60L;
if (StrUtil.isEmpty(timestamp) || DateUtil.between(DateUtil.date(Long.parseLong(timestamp) * 1000), DateUtil.date(), DateUnit.SECOND) > NONCE_STR_TIMEOUT_SECONDS) {
throw new BusinessException("invalid timestamp");
}
// 判断该用户的nonceStr参数是否已经在redis中(防止短时间内的重放攻击)
Boolean haveNonceStr = redisTemplate.hasKey(nonceStr);
if (StrUtil.isEmpty(nonceStr) || Objects.isNull(haveNonceStr) || haveNonceStr) {
throw new BusinessException("invalid nonceStr");
}
// 对请求头参数进行签名
if (StrUtil.isEmpty(signature) || !Objects.equals(signature, this.signature(timestamp, nonceStr, request))) {
throw new BusinessException("invalid signature");
}
// 将本次用户请求的nonceStr参数存到redis中设置xx秒后自动删除
redisTemplate.opsForValue().set(nonceStr, nonceStr, NONCE_STR_TIMEOUT_SECONDS, TimeUnit.SECONDS);
return true;
}
private String signature(String timestamp, String nonceStr, HttpServletRequest request) throws UnsupportedEncodingException{
Map params = new HashMap<>(16);
Enumeration enumeration = request.getParameterNames();
if (enumeration.hasMoreElements()) {
String name = enumeration.nextElement();
String value = request.getParameter(name);
params.put(name, URLEncoder.encode(value, CommonConstants.UTF_8));
}
String qs = String.format("%s×tamp=%s&nonceStr=%s&key=%s", this.sortQueryParamString(params), timestamp, nonceStr, key);
log.info("qs:{}", qs);
String sign = SecureUtil.md5(qs).toLowerCase();
log.info("sign:{}", sign);
return sign;
}
/**
* 按照字母顺序进行升序排序
*
* @param params 请求参数 。注意请求参数中不能包含key
* @return 排序后结果
*/
private String sortQueryParamString(Map params){
List listKeys = Lists.newArrayList(params.keySet());
Collections.sort(listKeys);
StrBuilder content = StrBuilder.create();
for (String param : listKeys) {
content.append(param).append("=").append(params.get(param).toString()).append("&");
}
if (content.length() > 0) {
return content.subString(0, content.length() - 1);
}
return content.toString();
}
}
总结:做互联网应用,无论是生鲜小程序还是APP,安全永远都是第一位,安全做好了,其他的才能做得更好,当然,信息安全是一个永久的话题,并非通过本文就能够说得清楚的
希望本文可以给大家一点思考与建议。
session 重放攻击_API接口如何防止参数被篡改和重放攻击?相关推荐
- API接口防止参数被篡改和重放攻击
1. 什么是API参数篡改? 说明:API参数篡改就是恶意人通过抓包的方式获取到请求的接口的参数,通过修改相关的参数,达到欺骗服务器的目的,常用的防止篡改的方式是用签名以及加密的方式.关注公众号码猿技 ...
- (转)API接口防止参数篡改和重放攻击
API重放攻击(Replay Attacks)又称重播攻击.回放攻击.他的原理就是把之前窃听到的数据原封不动的重新发送给接收方.HTTPS并不能防止这种攻击,虽然传输的数据是经过加密的,窃听者无法得到 ...
- 电商系统中API接口防止参数篡改和重放攻击(小程序/APP)
说明:目前所有的系统架构都是采用前后端分离的系统架构,那么就不可能避免的需要服务对外提供API,那么如何保证对外的API的安全呢? 即生鲜电商中API接口防止参数篡改和重放攻击 目录 1. 什么是AP ...
- 测试私有方法_Java基础之抽象类、接口作为方法参数和返回值
不同修饰符使用细节 常用来修饰类.方法.变量的修饰符 public 权限修饰符,公共访问, 类,方法,成员变量 protected 权限修饰符,受保护访问, 方法,成员变量 默认什么也不写 也是一种权 ...
- [转载] Java获取一个类继承的父类或者实现的接口的泛型参数
参考链接: Java中的接口和继承 泛型的作用就不多介绍了,如果你想具备架构设计能力,那么熟练使用泛型是必不可少的. 不多说了,先定义泛型父类和泛型接口: package cn.zhh; public ...
- php支付宝接口参数错误,php支付接口_php支付宝支付接口程序及参数详解
摘要 腾兴网为您分享:php支付宝支付接口程序及参数详解,作业盒子,智能互联,智联招聘,小番茄等软件知识,以及雷电游戏中心,天气预报软件,live电视直播,otcbtc,手机街机,lq-630k驱动 ...
- 学习大数据的第13天——Java面向对象(接口、分析参数返回值的类型不同时如何解决、包以及访问权限修饰符(public、protected、默认、private))
学习大数据的第13天--Java面向对象(接口.分析参数返回值的类型不同时如何解决.包以及访问权限修饰符(public.protected.默认.private)) 接口 接口的基本定义: 1.1.语 ...
- Java 接口作为方法参数
一'Java 接口作为方法参数好处: 1 可以很方便封装起来,供调用者使用: 2 参数为接口类型可以实现代码解耦: 3 对调用者而言, 无需关心内部构造逻辑 , 只要实现调用相关方法 实现自己的下部逻 ...
- java新特性-函数式接口-作为方法参数-作为方法的返回值-常用函数式接口-Supplier-Consumer-Predicate-Function
文章目录 函数式接口 概念 函数式接口作为方法参数 函数式接口作为方法的返回值 常用函数式接口 Supplier接口 常用函数式接口 Consumer 函数式接口之 Predicate接口 常用接口之 ...
最新文章
- 【划分树+二分】HDU 4417 Super Mario
- linux C语言 socket如何判断socket_fd对应的socket是否断开?(是否连通、是否正常连接)recv()、tcp_info TCP_ESTABLISHED、keepalive
- 《Head First Servlets JSP(中文版)》书摘
- linux-shell命令之cp(copy)【拷贝复制】
- 服务器损坏mysql修复_云服务器mysql数据库损坏修复mysql
- php cdi_使用CDI的InjectionPoint注入配置值
- java多线程通信方法
- 流迭代器实现文件操作(读取和写入)
- 雷军在金山的奋斗历程(我的金山我的青春)
- kaptcha配置java_java之kaptcha验证码
- 一个简单的购物商城,记录一下。
- 用树莓派4b搭建Terraria服务器
- 英飞凌单片机--GTM(Generic Timer Module)
- 主动噪声控制中的声波方程
- Android系统和版本介绍
- vue实现echarts的字体样式自定义
- 迅为IMX6ULL开发板更新资料介绍
- 十八般武艺之Nginx踩坑总结
- 利用FFMPEG 旋转视频 和制作多宫格效果
- go语言中的文件file操作
热门文章
- 为什么要自己做一把蓝牙机械键盘
- CVPR 2023 | 微软提出RODIN:首个3D扩散模型高质量生成效果,换装改形象一句话搞定!...
- MyBatis - 初学笔记
- Android 热修复使用Gradle Plugin1.5改造Nuwa插件
- C++结构体复制的相关问题
- 物联网专题17:IP地址和端口
- 云服务器绑定域名教程(一)
- 国产 MCU AT32F403A 替换 STM32F103 点LED灯
- 据说20%的业务能拿到外贸大订单因为懂这个方法
- app css导入字体大小,app设计中的字体行高